Requisitos de assinatura de firmware UEFI ou plug-in LSA
Você pode usar o painel de hardware do Partner Center para assinar digitalmente plug-ins LSA (Autoridade de Segurança Local) e binários de firmware UEFI, permitindo que eles sejam instalados em dispositivos Windows.
Plug-ins LSA e firmware UEFI
- Os plug-ins LSA e a assinatura de firmware UEFI exigem um de certificado de assinatura de código de validação estendida (EV).
- Todos os envios LSA e UEFI devem ser um único arquivo de biblioteca CAB assinado e conter todos os arquivos necessários para assinatura.
- Este arquivo não deve conter pastas e apenas os binários ou arquivos .efi a serem assinados.
- SOMENTE FIRMWARE UEFI - A assinatura do arquivo CAB deve corresponder ao certificado Authenticode da sua organização.
- Dependendo do seu provedor de certificados, talvez seja necessário usar o SignTool ou um processo externo.
- Os arquivos EFI ByteCode (EBC) devem ser compilados usando o sinalizador /ALIGN:32 para que o processamento seja bem-sucedido.
- SOMENTE FIRMWARE UEFI - Se o envio for um shim, você deverá enviar um modelo completo para revisão ao conselho de revisão de shim. O processo de revisão de shim é descrito em https://github.com/rhboot/shim-review/.
- SOMENTE PLUG-INS LSA - A assinatura do arquivo CAB deve corresponder ao certificado de assinatura de código EV da sua organização.
Próximas etapas
Para saber como assinar um plug-in LSA ou firmware UEFI no painel de hardware:
Para obter mais informações sobre as políticas de assinatura UEFI da Microsoft e os testes de pré-envio, consulte: